© 2014 SAP SE or an SAP affiliate company. All rights reserved. 1

Infoday for Public Sector

Přehled řešení SAP pro oblast bezpečnosti

© 2014 SAP SE or an SAP affiliate company. All rights reserved. 2

IT Aplikační bezpečnost

Řešení SAP pro zabezpečení aplikací

Řízení přístupů a identity (IAM)

Správa identit, oprávnění,

rolí a administrace

Zabezpečené používání

SAP a eliminace rizik

plynoucích z konfliktních

oprávnění

Autentizace a

Single Sign-On

SAP Identity

Management

SAP GRC

Access

Control

SAP

Single

Sign-On

SAP

Cloud

Identity

(HCP)

SAP NW AS

add-on for

code

vulnerability

analysis

Útoky a hrozbyZabezpečení

kódu

SAP Enterprise

Threat Detection

SAP Read

Access

Logging

Logování

Hledání

bezp. děr v

ABAP kódu

Detekce

kybernetických

útoků

Monitorování

systémů SAP,

non-SAP,

infrastrukturních

komponent

Kdo, kdy,

jaká data,

jakou

transakcí

nebo uživat.

rozhraním

© 2014 SAP SE or an SAP affiliate company. All rights reserved. 3

Agenda

Řízení přístupů a identit

• Identity Management

• Single Sign On

• Access Control

Prevence a detekce útoků

• Read Access Logging

• SAP NW code vulnerability analysis

• Enterprise Threat Detection

© 2014 SAP SE or an SAP affiliate company. All rights reserved. 4

© SAP AG

Požadavky na

auditovatelnost

Zvyšování

operativních

nákladů

Proč potřebujete Identity Management

Obhospodařování mnoha zdrojů dat o identitách.

Manuální administrace uživatelů administrátory zdržuje

nástupy/výpovědi pracovníků i jejich přeřazování.

Schvalování přístupů přes pracné postupy založené na

papírových formulářích.

Závislost uživatelů na odezvách helpdesků.

Měnící se

firemní

procesy

Procesy fungující přes více organizací s aktivní participací

partnerských organizací.

Specifické požadavky na správu identit pro různá odvětví

Nekonsistentní a neřízené rozrůstání procesů.

Žádný záznam o tom, kdo a kdy přistupoval ke konkrétnímu IT

zdroji

Nemožnost zrušit oprávnění v okamžiku výpovědi.

Poskytnout auditorovi kompletní auditní stopu

Zabránit neautorizovaným přístupům v prostředí sdíleném více

organizacemi.

© 2014 SAP SE or an SAP affiliate company. All rights reserved. 5

Identity Lifecycle

© 2014 SAP SE or an SAP affiliate company. All rights reserved. 6

SAP NetWeaver Identity Management

Holistic Approach

e.g. on-boarding

SAP NetWeaver

Identity Management

Password management

Provisioning to SAP and non-SAP systemsReporting

Rule-based assignment of business roles

Identity virtualization and identity as service Approval

workflows

Central Identity StoreSAP

BusinessObjects

Access Control

(GRC)

Compliance checks through GRC

SAP Business Suite Integration

© SAP AG

Web-basedSingle Sign-On & Identity Federation

© 2014 SAP SE or an SAP affiliate company. All rights reserved. 7 7© 2014 SAP SE or an SAP affiliate company. All rights reserved.

© SAP AG

Role Definition and Provisioning

Role Definition (design, one-time task)

Read system access information (roles,

groups, authorizations, etc.) from target

systems

Define a business role hierarchy

Assign technical roles to business roles

Develop rules for role assignments

Provisioning (regularly)

Assign or remove roles to/from people

Through request/approval workflow

Manually (administrator)

Automatically, e.g. HR-driven

Automatic adjustment of master data and

assignments of technical authorizations in

target systems

End user(Portal role)

Accounting(ABAP role)

HR manager(ABAP role)

SAP HRActive

Directory SAP FI

E-Mail

System

SAP

Portal

E-mailAD

user

Business Roles

Technical Roles

Manager

Employee

Accounting

© 2012 SAP AG. All rights reserved. 8

Compliant, Business-Driven

Identity Management

HCM SAP NetWeaver

Identity Management

SAP BusinessObjects

Access Control

Line Manager Landscape

Yes

No

Calculate entitlements

based on positionCompliance check

Remediation

Approve

assignments

New Hire

Reduce TCO by simplifying assignment of roles

and privileges to users, triggered by HCM events

Reduce risk through compliance checks and

remediation

Automate manual processes through integration

with SAP Business Suite

Create user

Assign roles

Create User

Assign roles

Requirement:

Provide automated, position-based role

management while ensuring compliance

Create User

Assign privileges

© SAP AG

© 2012 SAP AG. All rights reserved. 9

Reporting with Lumira

Customer-specific

reposts/analyses for

identity management

Rich graphical capabilities for

visualizing and utilizing

reported data

Low integration

and maintenance

efforts

Easy extension

© 2012 SAP AG. All rights reserved. 10

© SAP AG

SAP NetWeaver Identity Management Connectivity –

Overview

Directory

Servers

Applications SAP Business Suite

SAP BusinessObjects

Access Control (GRC)

Lotus Domino / Notes

Microsoft Exchange

RSA ClearTrust

RSA SecurID

Other SAP Application Server

Microsoft Windows NT

Unix/Linux

Shell execute

Custom Java connector API

Script-based connector API

Databases Microsoft SQL Server

Microsoft Access

Oracle database

IBM UDB (DB2)

MySQL

Sybase

SAP HANA

Technical SPML (Services Provisioning

Markup Language)

LDAP

ODBC / JDBC / OLE-DB

RFC

LDIF files

XML files

CSV files

Directory Servers

Microsoft Active Directory

IBM Tivoli Directory

Novell eDirectory

SunONE Java Directory

Oracle Internet Directory

Microsoft Active Directory Application

Mode (ADAM)

Siemens DirX

OpenLDAP

eB2Bcom View500 Directory Server

CA eTrust Directory

SAP NetWeaver IDM Virtual

Directory Server

Any LDAP v3 compliant directory server

SAP Single Sign-on

© 2012 SAP AG. All rights reserved. 12

SAP Single Sign-On – o čem to je?

Jediná autentizace a následný přístup k SAP i non-

SAP aplikacím se zachováním bezpečného a

uživatelsky přátelského prostředí.

Dodržení firemních i legislativních požadavků.

Vylepšení bezpečnostních standardů a tím zvýšení

ochrany organizace.

© 2012 SAP AG. All rights reserved. 13

SAP Single Sign-On – Product Description

SAP Single Sign-On provides a simple and secure access to IT applications for

business users, encrypts company

data and provides optionally advanced security to protect important business

applications.

Simple and secure access

Web and mobile single sign-on

Single sign-on for native SAP clients

Supports on-cloud and on-premise landscapes

Secure data communication

Encryption of data communication for SAP GUI

Digital signatures

FIPS certification of security functions

Advanced security capabilities

2-factor authentication

Risk based authentication using access policies

RFID based authentication

Hardware security module support

© 2012 SAP AG. All rights reserved. 14

Two-Factor Authentication with SAP Authenticator

Authentication with One-Time Passwords

Recommended for increased security scenarios

Authentication requires two means of

identificationKnowledge of regular password

Possession of mobile device that generates the

one-time password

Based on SAP Authenticator Mobile AppOne-time password generated by app

Available for iOS and Android

RFC 6238 compatible

Usage ScenariosAvailable as additional protection level for single

sign-on scenarios

based on X.509 certificates and SAML

Integrated with Secure Login Server and Identity

Provider

SAP GRC Access Control

© 2012 SAP AG. All rights reserved. 16

Přístup do systémuNejčastější problém je kvalitní oddělení pravomocí

Tvorba

dodavatele

Platba

dodavateli

V průměrně velkém systému ERP je mezi 50,000 a 100,000 kombinací

autorizací, které vedou k potenciálnímu problému konfliktu pravomocí.

Tvorba

dodavatele

Platba

dodavateli

© 2012 SAP AG. All rights reserved. 17

Monitoring a práva

Přístupová práva nouzového přístupu

Certifikace přístupů

Správa podnikových rolí

Zabránění vzniku konfliktů

Nepřetržité řízení

přístupových práv

Pro SAP i non-SAP systémy

Identifikace rizik a nápravnáopatření

Odstranění konfliktů

Kompenzační kontroly

SAP GRC Access ControlŘízení přístupových oprávnění v souladu s SoD

SAP_ALL

X

Legacy

© 2012 SAP AG. All rights reserved. 18

SAP GRC Access ControlZabezpečené používání SAP a eliminace rizik plynoucích z konfliktních oprávnění

Celopodniková knihovna vzorových pravidel pro oddělení pravomocí

Bezchybné přidělení

přístupových práv

Prevence narušení

SoD v reálném čase

Správa přístupových

práv superuživatelů

Řešení zásadního

problému auditu –

Dočasné přístupy

Periodická kontrola a

audit přístupů

Řešení problémů v

rámci opakovaných

auditů

(Ucelený přehled)(Zabránění vzniku neshod)

Analýza rizik, nápravné a preventivní služby

Správa podnikových

rolí

Dosažení SoD již při

zavádění řešení.

Identifikace rizik a

nápravná opatření

Rychlé, efektivní a

komplexní řešení

iniciální nedostatků

(Odstranění neshod)

Minimální čas

k dosažení shody

Nepřetržité řízení

přístupových práv

Efektivní řízení

dohledu a auditu

* SoD – Segregation of Duties

SAP NW Read Access

Logging

© 2012 SAP AG. All rights reserved. 20

Požadavky zákazníků na přístup k datům

Soulad s legislativou ochrany citlivých údajů

Soulad s odvětvovými standardy (např. Zákon o ochraně osobních údajů)

Monitoruje přístup do specificky klasifikovaných, nebo citlivých dat (např. platy)

Monitoruje pouze ty akce uživatele, které je nutno monitorovat. Citlivé údaje

neloguje, nebo je následně odmazává.

SAP poskytuje řešení, které umožňuje logovat přístup (čtení) k citlivým datům:

Read Access Logging

© 2012 SAP AG. All rights reserved. 21

Features

Read access logging (RAL) umožňuje sledovat přístup k datům:

Kdo nahlížel na data

Na která data nahlížel

Kdy bylo přistupováno k datům

Jakým způsobem bylo k datům přistupováno (transakce nebo uživatelský

intreface)

Detail logování je nastavitelný a záleží na:

Uživatelském interface použitém k přístupu k datům

Operace provedená na vzdáleném API

Uživatel užívající zdálené API / uživatelský interface

Konkrétní vstupy a jejich obsah

© 2012 SAP AG. All rights reserved. 22

The Way it Works

© 2012 SAP AG. All rights reserved. 23

Analyzing Logged Data (Big Picture)

© 2012 SAP AG. All rights reserved. 24

Recording and Configuration for UI Channels

© 2012 SAP AG. All rights reserved. 25

Availability

NW 7.40 SP4 - Development Code line

NW 7.31 SP9

NW 7.30 SP11

NW 7.11 SP13

NW 7.02 SP15

NW 7.01 SP15

For legacy releases, you can use the UI logging solution from SAP

Custom Development services

SAP NW Code Vulnerability

analysis

© 2012 SAP AG. All rights reserved. 27

SAP NW Code Vulnerability analysis – o co jde?

Jedná se o nový plug-in do vývojového prostředí v ABAP

Zabezpečuje kontroly kódu z pohledu bezpečnosti

Je k dispozici pro NW 7.0, EhP2, SP14, NW 7.3, EhP1, SP09 a NW 7.40, SP05

Jedná se o samostatně licencovaný

produkt

Funkcionalita je integrována

do transakce SLIN, nebo

do ABAP Test Cockpit (ATC)

© 2012 SAP AG. All rights reserved. 28

SAP NW Code Vulnerability analysis – použití

Příklad:

DATA(cond) = `country = 'DE' AND name = '` && name && `'`.

by mělo být nahrazeno:

DATA(cond) = `country = 'DE' AND name = '` &&

cl_abap_dyn_prg=>escape_quotes( name ) && `'`.

Bližší dokumentace je k dispozici na:

http://help.sap.com/abapdocu_740/en/index.htm?url=abenabap_security.htm

SAP Enterprise Threat

Detection

© 2014 SAP AG. All rights reserved. 30

SAP Enteprise Threat Detection

Účel řešení

• Automaticky detekuje podezřelé aktivity

• Včasná detekce kybernetických útoků

• Umožňuje analýzu hrozeb v reálném čase

Jak to funguje?

• Uchovává bezpečnostní události v centrální databázi

• Obohacuje události o informace o kontextu

• Automaticky vyhodnocuje vzorce potenciálních útoků a

generuje upozornění. Dodaný obsah pro vyhodnocení od

SAP může být obohacován dle přání zákazníka.

Audience

• CIO, CEO

• Ředitel bezpečnosti

• Ředitel IT oddělení

• Tým oddělení bezpečnosti

Architektura

Vliv na IT infrastrukturu

• SAP Enterprise Threat Detection je provozován na SAP

HANA platformě.

• Monitorované SAP systémy mohou být provozovány na

jakékoliv databázi. Extraktor logů je k dispozici na základě

SAP Note a service pack.

• Integrace non-SAP dat je založená na definovaném SAP

API

© 2014 SAP AG. All rights reserved. 31

How the solution works?

© 2014 SAP AG. All rights reserved. 32

… Log

Data model of SAP Enterprise Threat Detection

Normalization of log data

Information content of the

source is not reduced

Unified representation of time

stamps, user identities, …

Maintenance of additional

information

Data model is generic

enough to cover

customer-specific

scenarios

HTTP Log

Security

Audit Log

System

Log

User

Change

Log

Business

Transactio

n Log

Read

Access

Log

Customer-

specific

Log

Unified Log

© 2014 SAP AG. All rights reserved. 33

Identify attack patterns

© 2014 SAP AG. All rights reserved. 34

Architektura SAP ETD

RAL

Non-SAP

Systems

Děkujeme za pozornost!

Tomáš Hladík

Solution Architect

Consulting

SAP ČR, spol. s r.o.

Budova BBC Beta

Vyskočilova 1481/4

140 00 Praha,

M +420 606 729 602

E tomas.hladik@sap.com

© 2015 SAP SE or an SAP affiliate company. All rights reserved. 36Public

© 2015 SAP SE or an SAP affiliate company.

All rights reserved.

No part of this publication may be reproduced or transmitted in any form or for any purpose without the express permission of SAP SE or an

SAP affiliate company.

SAP and other SAP products and services mentioned herein as well as their respective logos are trademarks or registered trademarks of SAP SE

(or an SAP affiliate company) in Germany and other countries. Please see http://global12.sap.com/corporate-en/legal/copyright/index.epx for additional

trademark information and notices.

Some software products marketed by SAP SE and its distributors contain proprietary software components of other software vendors.

National product specifications may vary.

These materials are provided by SAP SE or an SAP affiliate company for informational purposes only, without representation or warranty of any kind,

and SAP SE or its affiliated companies shall not be liable for errors or omissions with respect to the materials. The only warranties for SAP SE or

SAP affiliate company products and services are those that are set forth in the express warranty statements accompanying such products and

services, if any. Nothing herein should be construed as constituting an additional warranty.

In particular, SAP SE or its affiliated companies have no obligation to pursue any course of business outlined in this document or any related

presentation, or to develop or release any functionality mentioned therein. This document, or any related presentation, and SAP SE’s or its affiliated

companies’ strategy and possible future developments, products, and/or platform directions and functionality are all subject to change and may be

changed by SAP SE or its affiliated companies at any time for any reason without notice. The information in this document is not a commitment,

promise, or legal obligation to deliver any material, code, or functionality. All forward-looking statements are subject to various risks and uncertainties

that could cause actual results to differ materially from expectations. Readers are cautioned not to place undue reliance on these forward-looking

statements, which speak only as of their dates, and they should not be relied upon in making purchasing decisions.